2x pfSense mit je einem WAN in einem LAN Routing Frage [GELÖST/SOLVED]



  • Hallo Fachleute,

    wir sind von einer Linuxlösung auf pfSense umgestiegen bloss irgendwie bekomme ich das Routing in unserer Config nicht hin.

    Folgendes haben zwei pfSense 192.168.1.1 und 192.168.1.2.

    Die 192.168.1.1 stellt alle OpenVPN N2N Tunnel her, im Subnetz ist bei allen Rechnern die 192.168.1.2 als Standard Gateway eingetragen.
    Als zusätzliches Router ist bei der 192.168.1.2 die 192.168.1.1 eingetragen und es ist auch eine statische Route zu einem entferneten Netz wie z.B. 172.16.100.0/24 eingetragen mit dem GW 192.168.1.1. Jedoch kommt kein Ping vom 172.16.100.0/24 Netz zum Router 192.168.1.1 geschweige einem Host 192.168.1.xxx.

    Fehlen irgendwelche Rules !?

    Viele Grüße
    JBBERLIN


  • Rebel Alliance Moderator

    Hi,

    Als zusätzliches Router ist bei der 192.168.1.2 die 192.168.1.1 eingetragen

    Wie und wo? Und für welche Netze?

    Jedoch kommt kein Ping vom 172.16.100.0/24 Netz zum Router 192.168.1.1 geschweige einem Host 192.168.1.xxx.

    Das betrifft aber die andere Seite? Kann es sein, dass die Gegenstelle(n) von der .1.1 die Netzrouten nicht gepusht bekommen und deshalb überhaupt nichts über den Tunnel senden?
    Zudem muss natürlich auf der .1.1 beim OVPN Tab Regeln existieren, damit Traffic von 172.x nach 192.x angenommen wird.

    Gruß



  • Sorry unglüglich und falsch formuliert.

    172.16.100.0/24
                |
    OpenVPN N2N
                |
    192.168.1.1 (ping von 172.16.100.xxx geht hierher.)

    192.168.1.2 (ping von 172.16.100.xxx geht hier nicht und auch nicht zu einem anderen 192.168.1.xxx)

    Auf 192.168.1.2 ist als zuätzlicher Router der 192.168.1.1 mit der Route 172.16.100.0/24 als Gateway eingetragen.

    Viele Grüße
    JBBERLIN


  • Rebel Alliance Moderator

    Auf 192.168.1.2 ist als zuätzlicher Router der 192.168.1.1 mit der Route 172.16.100.0/24 als Gateway eingetragen.

    He? OK das wird echt dubios. Könntest du die entsprechenden Routen/Gateway Konfigs mal als Screenshot posten? Das fängt an keinen Sinn zu machen.

    Wenn der .1.2 dein Default Gateway ist weil Internet/WAN da drüber läuft, dann müsste .1.1 lediglich .1.2 als Default GW haben und sonst nichts. Ein weiteres GW oder Route ist hier eigentlich nicht nötig, die anderen Routen kommen via OpenVPN von allein. Lediglich .1.2 müsste eine Route für 172.16.100/24 auf die .1.1 haben. Und auf der .1.1 müsste natürlich auch im Regelset erlaubt werden, dass da Traffic hin wie her fließt.

    Du bekommst so eben ein ziemlich asymetrisches Routing was immer seine Probleme mit sich bringt. Ich verstehe an der Stelle nicht ganz, warum du mit 2 Routern rummachst, wo beide pfSense sind und du problemlos die Tunnel auf die .1.2 mit raufpacken könntest. Dann wäre da gar kein Problem mehr.



  • Jep so hat es auch bei der alten Linuxlösung gefuntz.

    Das kommt davon weil haufenweisse Dienste laufen und mir auch bewusst ist das dass suboptimal ist. Aber GW .1.1 ist für die OpenVPN N2N Tunnel zuständig wärend .1.2 für alle IPSec RW und die Dienste wie OWA ect. abdecken muss. Also zwei weil wir Bandbreite brauchen.
    Die Lösung mit MultiWAN hat noch mehr Probleme gemacht deshalb die asymetrisch.

    Die Screens kommen leider nachher weil ich bin gerade im 172.16.100.0/24 Netz vor Ort und habe nur zugriff auf 192.168.1.1 auf 192.168.1.2 kann ich nur vom .1.1 aus pingen und nicht von 172.16.100.0/24

    Vielen Dank erstmal
    und viele Grüße
    JBBERLIN


  • Rebel Alliance Moderator

    Also zwei weil wir Bandbreite brauchen.

    Bandbreite? Ist Gigabit an der Stelle nicht genug? :O

    Die Lösung mit MultiWAN hat noch mehr Probleme gemacht deshalb die asymetrisch.

    Da drängt sich die Frage auf, welches Problem einfacher gelöst gewesen wäre ;)



  • Wieso Gigabit ? Es sind je einmal VDSL25. Jeder der beiden pfSense ist je an ein WAN angeschlossen.

    Und es sind 19 N2N Tunnel auf .1.1 und ca. 50 gleichzeitige RW die auf internes VoIP und Wiki sowie PDF's von Owncloud abrufen auf .1.2 plus OWA und zwei kleine Webservices.
    Deshalb.

    Das ist keine interne Kaskade.

    Viele Grüße
    JBBERLIN



  • Also des Rätsels Lösung war:

    auf dem 192.168.1.2 eine Rule eintragen:

    Protocol:IPv4* Source:172.16.100.0/24 Port:* Destination:LAN net Port:* Gateway:(Name des lokalen GW auf .1.1)

    Was jetzt im Nachhinein logisch ist.

    Vielen Dank und viele Grüße
    JBBERLIN


Log in to reply